Microsoft Entra 애플리케이션 프록시를 사용하는 온-프레미스 앱용 헤더 기반 SSO(Single Sign-On)

  • 아티클

Microsoft Entra 애플리케이션 프록시는 기본적으로 인증에 헤더를 사용하는 애플리케이션에 대한 SSO(Single Sign-On) 액세스를 지원합니다. 애플리케이션에 필요한 헤더 값을 Microsoft Entra ID로 구성합니다. 헤더 값은 애플리케이션 프록시를 통해 애플리케이션으로 전송됩니다. 애플리케이션 프록시에서 헤더 기반 인증에 대한 네이티브 지원을 사용하는 이점은 다음과 같습니다.

  • 온-프레미스 앱 에 대한 원격 액세스를 간소화합니다. 애플리케이션 프록시는 기존 원격 액세스 아키텍처를 간소화합니다. 이러한 앱에 대한 VPN(가상 사설망) 액세스를 대체합니다. 인증을 위해 온-프레미스 ID 솔루션에 대한 종속성을 제거합니다. 사용자 환경을 간소화하면 회사 애플리케이션을 사용할 때 다른 것을 알 수 없습니다. 사용자는 모든 디바이스의 어디에서나 작업할 수 있습니다.

  • 추가 소프트웨어 또는 앱 변경 사항 없음 - 기존 프라이빗 네트워크 커넥터를 사용합니다. 추가 소프트웨어가 필요하지 않습니다.

  • 광범위한 특성 및 변환 목록 제공 - 사용 가능한 모든 헤더 값은 Microsoft Entra ID에서 발급한 표준 클레임을 기반으로 합니다. SAML(Security Assertion Markup Language) 또는 OIDC(OpenID 커넥트) 애플리케이션에 대한 클레임을 구성하는 데 사용할 수 있는 모든 특성 및 변환도 헤더 값으로 사용할 수 있습니다.

필수 조건

애플리케이션 프록시를 사용하도록 설정하고 애플리케이션에 대한 직접 네트워크 액세스 권한이 있는 커넥터를 설치합니다. 자세한 내용은 애플리케이션 프록시를 통해 원격 액세스를 위한 온-프레미스 애플리케이션 추가를 참조하세요.

지원되는 기능

이 표에는 헤더 기반 인증 애플리케이션에 필요한 일반적인 기능이 나와 있습니다.

요구 사항 Description
페더레이션 SSO 사전 인증 모드에서는 모든 애플리케이션이 Microsoft Entra 인증으로 보호되고 사용자에게 Single Sign-On이 있습니다.
원격 액세스 애플리케이션 프록시는 앱에 대한 원격 액세스를 제공합니다. 사용자는 외부 URL(Uniform Resource Locator)을 사용하여 모든 웹 브라우저에서 인터넷에서 애플리케이션에 액세스합니다. 애플리케이션 프록시는 일반 회사 액세스를 위한 것이 아닙니다. 일반적인 회사 액세스는 Microsoft Entra 개인 액세스 참조하세요.
헤더 기반 통합 애플리케이션 프록시는 Microsoft Entra ID와 SSO 통합을 처리한 다음 ID 또는 기타 애플리케이션 데이터를 HTTP 헤더로 애플리케이션에 전달합니다.
애플리케이션 권한 부여 일반적인 정책은 액세스 중인 애플리케이션, 사용자의 그룹 멤버 자격 및 기타 정책에 따라 지정됩니다. Microsoft Entra ID에서 정책은 조건부 액세스를 사용하여 구현됩니다. 애플리케이션 권한 부여 정책은 최초 인증 요청에만 적용됩니다.
인증 강화 정책은 예를 들어 중요한 리소스에 액세스하기 위해 강제로 추가된 인증을 위해 정의됩니다.
세분화된 권한 부여 URL 수준에서 액세스 제어를 제공합니다. 액세스되는 URL에 따라 추가 정책을 적용할 수 있습니다. 앱에 대해 구성된 내부 URL은 정책이 적용되는 앱의 범위를 정의합니다. 가장 세분화된 경로에 대해 구성된 정책이 적용됩니다.

참고 항목

이 문서에서는 애플리케이션 프록시를 사용하는 헤더 기반 인증 애플리케이션과 Microsoft Entra ID 간의 연결을 설명하고 권장되는 패턴입니다. 또는 Microsoft Entra ID와 함께 PingAccess를 사용하여 헤더 기반 인증을 사용하도록 설정하는 통합 패턴이 있습니다. 자세한 내용은 애플리케이션 프록시 및 PingAccess를 사용한 Single Sign-On에 대한 헤더 기반 인증을 참조 하세요.

작동 방식

헤더 기반 Single Sign-On이 애플리케이션 프록시에서 작동하는 방식

  1. 관리자는 Microsoft Entra 관리 센터에서 애플리케이션에 필요한 특성 매핑을 사용자 지정합니다.
  2. 애플리케이션 프록시는 사용자가 Microsoft Entra ID를 사용하여 인증되도록 합니다.
  3. 애플리케이션 프록시 클라우드 서비스는 필요한 특성을 인지합니다. 따라서 서비스는 인증 중에 받은 ID 토큰에서 해당 클레임을 페치합니다. 그런 다음 서비스는 해당 값을 필요한 HTTP 헤더로 커넥터에 대한 요청의 일부로 변환합니다.
  4. 그런 다음 요청은 커넥터로 전달되고 커넥터는 백 엔드 애플리케이션으로 전달됩니다.
  5. 애플리케이션은 헤더를 수신하고 필요에 따라 해당 헤더를 사용할 수 있습니다.

애플리케이션 프록시를 사용하여 애플리케이션 게시

  1. 애플리케이션 프록시를 사용하여 애플리케이션 게시에 설명된 지침에 따라 애플리케이션을 게시합니다.

    • 내부 URL 값은 애플리케이션의 범위를 결정합니다. 애플리케이션의 루트 경로에서 내부 URL 값을 구성하고 루트 아래의 모든 하위 경로는 동일한 헤더 및 애플리케이션 구성을 받습니다.
    • 새 애플리케이션을 만들어 이전에 구성한 애플리케이션보다 더 세분화된 경로에 다른 헤더 구성 또는 사용자 할당을 설정합니다. 필요한 특정 경로로 새 애플리케이션의 내부 URL을 구성한 다음 이 URL에 필요한 특정 헤더를 구성합니다. 애플리케이션 프록시는 항상 구성 설정을 애플리케이션에 대해 설정된 가장 세분화된 경로와 일치합니다.

  2. 사전 인증 방법으로 Microsoft Entra ID를 선택합니다.

  3. 사용자 및 그룹으로 이동한 다음 적절한 사용자 및 그룹을 할당하여 테스트 사용자를 할당합니다.

  4. 브라우저를 열고 애플리케이션 프록시 설정에서 외부 URL로 이동합니다.

  5. 애플리케이션에 연결할 수 있는지 확인합니다. 연결할 수는 있지만 헤더가 구성되지 않았기 때문에 앱에 액세스할 수 없습니다.

Single Sign-On 구성

헤더 기반 애플리케이션에 대한 Single Sign-On을 시작하기 전에 프라이빗 네트워크 커넥터를 설치합니다. 커넥터는 대상 애플리케이션에 액세스할 수 있어야 합니다. 자세한 내용은 자습서: Microsoft Entra 애플리케이션 프록시를 참조하세요.

  1. 애플리케이션이 엔터프라이즈 애플리케이션 목록에 나타나면 이를 선택하고 Single Sign-On을 선택합니다.
  2. Single Sign-On 모드를 헤더 기반으로 설정합니다.
  3. 기본 구성에서 Microsoft Entra ID가 기본값으로 선택됩니다.
  4. 헤더에서 편집 연필을 선택하여 애플리케이션에 보낼 헤더를 구성 합니다.
  5. 새 헤더 추가를 선택합니다. 헤더의 이름을 제공하고 특성 또는 변환선택하고 드롭다운에서 애플리케이션에 필요한 헤더를 선택합니다.
  6. 저장을 선택합니다.

앱 테스트

이제 애플리케이션이 실행 중이며 사용할 수 있습니다. 앱을 테스트하는 방법은 다음과 같습니다.

  1. 새 브라우저 또는 프라이빗 브라우저 창을 열어 이전에 캐시된 헤더를 지웁니다.
  2. 외부 URL로 이동합니다. 애플리케이션 프록시 설정에서 외부 URL나열된 이 설정을 찾을 수 있습니다.
  3. 앱에 할당한 테스트 계정으로 로그인합니다.
  4. SSO를 사용하여 애플리케이션을 로드하고 로그인할 수 있는지 확인합니다.

고려 사항

  • 애플리케이션 프록시는 온-프레미스 또는 프라이빗 클라우드에서 앱에 대한 원격 액세스를 제공합니다. 애플리케이션 프록시는 의도한 애플리케이션과 동일한 네트워크 내에서 발생하는 트래픽에는 권장되지 않습니다.
  • 헤더 기반 인증 애플리케이션에 대한 액세스는 커넥터 또는 다른 허용된 헤더 기반 인증 솔루션에서 들어오는 트래픽에만 허용되어야 합니다. 액세스 제한은 일반적으로 애플리케이션 서버에서 방화벽 또는 IP 제한을 사용하여 수행됩니다.

다음 단계